Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

6 Recommandations d'experts sur la confiance zéro pour les agences gouvernementales

Aiden Herrod
Spécialiste du programme de marketing
Illumio Editorial
August 29, 2023
23 min. lire

Le secteur public est confronté à de grandes questions en matière de cybersécurité. Que peut-on faire pour réduire les vulnérabilités et atténuer la propagation des brèches ? Quelles sont les stratégies clés pour renforcer la cyber-résilience dans un paysage de menaces en constante évolution ?  

Pour le savoir, Gary Barlet, directeur technique pour le secteur fédéral chez Illumio, s'est récemment joint à des experts en cybersécurité du gouvernement, le Dr Mark A. Stanley, responsable de l'agence Zero Trust de la NASA, et Gerald J. Caron, directeur de l'information de l'Administration du commerce international, sur GovExec TV, pour discuter de la segmentation des applications et de son rôle dans l'architecture Zero Trust pour le secteur public.

De gauche à droite, Gerald J. Caron, directeur de l'information de l'administration du commerce international, Gary Barlet, directeur technique de l'administration fédérale, et Mark A. Stanley, responsable de la confiance zéro à la NASA, sur GovExec TV.

Poursuivez votre lecture pour découvrir les six principales recommandations issues de leur discussion sur la mise en œuvre de la confiance zéro et de la segmentation des applications.  

1. Les initiatives "zéro confiance" devraient être la priorité du moment

Pour commencer, le Dr Stanley a parlé de son rôle au sein de la NASA et du paysage de la politique de confiance zéro qu'il a trouvé à son arrivée.

"Lorsque je suis arrivé à la NASA, j'ai été totalement époustouflé", a-t-il déclaré. "Ces personnes réfléchissaient déjà à la question de la confiance zéro et à la manière dont nous allions y parvenir bien avant la publication du décret. Ils bénéficiaient déjà de l'adhésion et du soutien de l'équipe de direction".  

Au début de son mandat à la NASA, il a été nommé responsable de la confiance zéro de la NASA. Il a contribué à faire de la confiance zéro l'un des éléments fondamentaux de la transformation numérique de la NASA.  

"Du point de vue des priorités, tout ce que je peux faire pour aider à faire progresser Zero Trust occupe la majorité de nos cycles", a-t-il expliqué.

2. La visibilité est essentielle à la réussite de la mise en œuvre d'une stratégie de confiance zéro.

La réponse de Barlet a abordé la réflexion fondamentale qui va de pair avec la stratégie de confiance zéro et la segmentation des applications.

"La confiance zéro est un terme très large. La première chose qui nous semble importante pour la sécurité est de comprendre comment les informations circulent réellement dans votre entreprise", a déclaré M. Barlet.

M. Barlet recommande aux organisations qui s'efforcent d'atteindre la confiance zéro de commencer par la visibilité. Et il ne s'agit pas seulement d'une carte du réseau. Les réseaux hybrides d'aujourd'hui sont sans périmètre et dispersés. Les équipes de sécurité doivent suivre les interactions entre les applications à un niveau granulaire, et M. Barlet explique qu'il est essentiel d'avoir une visibilité sur les flux de communication des applications pour comprendre leur fonctionnement. Une fois la visibilité établie, les équipes de sécurité peuvent commencer à tracer des frontières autour de ces applications pour segmenter le réseau.  

"Si quelque chose se produit, la réalité est que la question n'est pas de savoir si vous serez compromis, mais quand. Lorsque ce compromis est atteint, que se passe-t-il ensuite ?". Barlet a déclaré.

Découvrez comment la carte des dépendances applicatives d'Illumio offre une visibilité sur votre environnement informatique hybride ici.

3. Si vous ne travaillez pas actuellement sur la confiance zéro, vous êtes en retard.

M. Barlet a ensuite expliqué les pièges que doivent éviter les entreprises qui sont en retard dans l'adoption de la confiance zéro.

"De nombreuses entreprises sont aujourd'hui très ouvertes", a-t-il déclaré. "Une fois qu'un adversaire a pris pied, il a la possibilité de se répandre sans entrave dans votre entreprise.

Les adversaires utilisent le mouvement latéral pour se propager d'une partie de l'environnement à une autre. Si ces environnements sont isolés les uns des autres, les brèches ne peuvent pas se propager. Cela est possible grâce à la segmentation, également appelée segmentation sans confiance.

"Avec la segmentation, vous voyez tous ces différents composants et vous dessinez un anneau application par application", a déclaré M. Barlet. "Ainsi, une fois que cette application est compromise, elle peut être contenue et ne peut pas infecter d'autres applications.

4. Les initiatives "Zéro confiance" nécessitent une collaboration interfonctionnelle

Pour atteindre un niveau d'adoption de la confiance zéro avec lequel les organisations peuvent se sentir à l'aise, il est important d'adopter un état d'esprit collaboratif. Le Dr Stanley a comparé l'état d'esprit de la NASA à son approche similaire de la découverte scientifique, où la NASA adopte un mandat pour partager la recherche et les résultats avec le monde entier pour l'amélioration de l'humanité.

"Nous, au niveau fédéral, devons commencer à réfléchir à la manière dont nous pouvons travailler ensemble", a déclaré le Dr Stanley. "Je crois fermement que la cybersécurité est un sport d'équipe.

M. Caron a repris les propos de M. Stanley en illustrant les pièges de l'ancienne approche de la collaboration dans le domaine de la cybersécurité.  

"Vous avez ces silos d'excellence, mais tous ces groupes doivent travailler ensemble pour atteindre une véritable confiance zéro", a expliqué M. Caron. "Autrefois, on avait un incident et on faisait un tour de piste. Vous continuiez à tourner en rond jusqu'à ce que vous trouviez le problème".

Mais selon M. Barlet, "on ne peut plus faire cela manuellement. Il est impossible de suivre l'évolution de la technologie, des données et de nos utilisateurs. La technologie est le seul moyen dont nous disposons pour espérer rester en tête ou être à la hauteur de cette courbe et de ce changement.  

5. La confiance zéro est une stratégie, pas une prescription

Dans la suite du webinaire, les trois experts ont abordé un autre aspect important de la stratégie de cybersécurité des pouvoirs publics : la conformité.  

Mme Caron a ouvert la discussion en établissant une distinction essentielle entre conformité et efficacité : "Ce sont deux mots très différents qui ont deux significations différentes. La conformité peut signifier quelque chose comme : "J'ai un système, je dois donc fournir une authentification". Le nom d'utilisateur et le mot de passe pourraient être conformes, mais ils ne sont pas efficaces."

En d'autres termes, ce n'est pas parce qu'un élément est une exigence de conformité qu'il est en même temps efficace. M. Caron encourage les organisations à considérer la confiance zéro comme un effort pour être plus efficace, en plus de satisfaire aux exigences de conformité.  

"La conformité se mettra en place au fur et à mesure que vous deviendrez efficace", a déclaré M. Caron. C'est ce que j'apprécie le plus dans la stratégie "Zero Trust" et dans le décret qui la mentionne. Il nous permet d'être plus efficaces. Il s'agit d'une stratégie, pas d'une prescription".

6. Prendre des mesures progressives pour atteindre la confiance zéro

Pour conclure, M. Barlet et M. Stanley ont parlé des meilleures pratiques pour l'adoption de la confiance zéro dans les entreprises.

Selon Barlet, "les organisations les plus efficaces procèdent étape par étape".

Il a expliqué que trop d'agences supposent qu'elles pourront passer de zéro à 100 % d'application de la loi "Zero Trust". Puis, lorsqu'ils n'atteignent pas l'objectif, l'initiative s'essouffle ou est considérée comme trop difficile.

"La réalité, c'est que vous n'atteindrez jamais 100 %", a déclaré Gary. "Dans le monde dans lequel nous vivons, essayer d'atteindre 100 % de quelque chose est un objectif inaccessible.

Au lieu de cela, Barlet encourage les organisations à s'efforcer d'atteindre la confiance zéro dans les pièces. En développant progressivement la confiance zéro, les agences peuvent obtenir des résultats rapides et augmenter les défenses, la sécurité et la protection au fil du temps.

"Barlet a été tout à fait à la hauteur", a ajouté le Dr Stanley. "Vous devez prendre en compte tous les piliers de la confiance zéro. Vous devez être en mesure de tirer parti de la protection qu'il offre à vos applications et à vos données, même si vous apportez des améliorations progressives à votre infrastructure".

Apprenez-en plus sur la façon dont Illumio peut vous aider à sécuriser votre agence gouvernementale ici.

Contactez-nous dès aujourd'hui pour une démonstration et une consultation gratuites.  

Sujets connexes

Government

Articles connexes

Comment Illumio comble les lacunes en matière de visibilité dans les environnements de conteneurs
Cyber Resilience

Comment Illumio comble les lacunes en matière de visibilité dans les environnements de conteneurs

Découvrez comment Illumio offre une visibilité complète à l'intérieur et à l'extérieur des grappes Kubernetes et OpenShift, élimine les angles morts et contient les brèches.

Read more
Au-delà de la visibilité : comment Illumio Insights relie vos points critiques de sécurité
Cyber Resilience

Au-delà de la visibilité : comment Illumio Insights relie vos points critiques de sécurité

Découvrez pourquoi l'observabilité est essentielle pour comprendre et réduire les cyberrisques.

Read more
Les prédictions en matière de cybersécurité pour 2023 se sont-elles réalisées ? Voici ce que nous avons trouvé
Cyber Resilience

Les prédictions en matière de cybersécurité pour 2023 se sont-elles réalisées ? Voici ce que nous avons trouvé

Découvrez comment trois prédictions clés pour le secteur de la cybersécurité en 2023 se sont concrétisées cette année.

Read more
5 leçons de l'ancien DPI fédéral Gary Barlet sur la confiance zéro
Segmentation sans confiance

5 leçons de l'ancien DPI fédéral Gary Barlet sur la confiance zéro

Découvrez pourquoi Gary Barlet, directeur technique pour le secteur fédéral chez Illumio, considère que la confiance zéro est une nouvelle façon d'aborder la cybersécurité, et pas seulement une nouvelle façon de gérer d'anciens problèmes de sécurité.

Read more
4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre
Cyber Resilience

4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre

Découvrez pourquoi les responsables de la cybersécurité mettent l'accent sur la nécessité d'adopter un état d'esprit de confiance zéro pour s'adapter aux nouvelles menaces.

Read more
3 défis auxquels les agences fédérales sont confrontées lors de la mise en œuvre d'une cybersécurité moderne
Cyber Resilience

3 défis auxquels les agences fédérales sont confrontées lors de la mise en œuvre d'une cybersécurité moderne

Le gouvernement fédéral américain recueille les informations personnelles de presque tous les citoyens. Les agences fédérales détiennent des données précieuses, dont certaines pourraient mettre le pays en danger si elles étaient divulguées.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more